Phishing w czasie pandemii COVID-19 – stare oszustwo w nowej odsłonie

Phishing to znana nie od dziś, popularna metoda oszustwa polegająca na skłonieniu ofiary do udostępnienia wrażliwych danych poprzez podszywanie się pod wiarygodne źródło, np. długoletniego kontrahenta lub instytucję publiczną. Pandemia Covid-19 to doskonała okazja dla oszustów, którzy mogą wykorzystywać panujące obecne specyficzne okoliczności do modyfikowania dotychczasowych metod oszustw.

Atak phishingowy może przybrać różne formy, m. in. listową, telefoniczną, SMS-ową lub e-mailową, a oszuści mają wiele możliwości dostosowania go do aktualnej sytuacji. Poniżej przedstawiamy przykłady phishingu związanego z koronawirusem.

W formie tradycyjnej, atak może zostać przeprowadzony przy wykorzystaniu listu z rzekomej instytucji państwowej wzywającego do uiszczenia opłat za wydatki związane z możliwością ubiegania się o wsparcie w ramach tarczy antykryzysowej. Środki wpłacone na podstawie danych zawartych w takim piśmie nigdy nie dotrą do docelowej instytucji, tylko do rąk oszustów.

SMS-owy phishing może przybrać formę sfałszowanej wiadomości od firmy kurierskiej informującej o konieczności uiszczenia dodatkowej opłaty za dezynfekcję paczki. W takiej wiadomości zwykle zamieszczony zostaje link do strony, na której można dokonać płatności. Wpisanie na niej danych logowania do systemu bankowego skutkuje ich utratą.

Phishing może również zostać przeprowadzony przy wykorzystaniu rozmowy telefonicznej, np. poprzez telefon z banku, w którym przedsiębiorstwo prowadzi swój rachunek. Dzwoniący może, informować o tym, że w związku ze specustawą dotyczącą koronawirusa, środki zgromadzone na koncie zostaną przekazane do rezerw krajowych NBP. W celu zatrzymania części zgromadzonych środków niezbędne jest podanie loginu i hasła do systemu bankowego w celu uwierzytelnienia połączenia i otrzymania dalszych instrukcji.

Inną metodą wykorzystywaną przy phishingu jest rozsyłanie wiadomości e-mail. Nadawca takiej wiadomości może podszywać się pod współpracownika rozsyłającego nowe polityki i procedury obowiązujące w firmie w czasie pandemii. Po kliknięciu w załącznik z rzekomymi nowymi procedurami na urządzeniu może zainstalować się oprogramowanie szpiegowskie zbierające wrażliwe dane.

Powyższe to tylko przykłady oszustw, z którymi możemy się obecnie spotkać. Wyobraźnia oszustów jest nieograniczona, ale wszyscy powinniśmy wiedzieć jak możemy się przed nimi obronić.

Kluczowe zachowania ograniczające ryzyko phishingu:

  • Traktowanie wszystkich informacji przesłanych w e-mailu, SMS, lub rozmowie telefonicznej z odpowiednim dystansem.
  • Unikanie klikania w przesłane linki, a w szczególności logowania się na strony, do których link został wysłany za pośrednictwem wiadomości e-mail lub SMS.
  • Sprawdzanie kluczowych informacji w kilku źródłach, w przypadku COVID-19 będą to m. in. strony internetowe Ministerstwa Zdrowia, Kancelarii Premiera oraz Głównego Inspektora Sanitarnego.
  • Uważne sprawdzanie rozszerzeń plików przesłanych, jako załącznik do e-maila. Jeśli jest to plik ‘.exe’ istnieje duże prawdopodobieństwo, że może być niebezpieczny.
  • Uważne zweryfikowanie danych nadawcy wiadomości. Może okazać się, że istnieje np. niewielka różnica między adresem mailowym używanym przez oszusta, a organizację, pod którą się podszywa.

Kluczowe działania, jakie może podjąć przedsiębiorstwo w celu uniknięcia phishingu:

  • Upewnienie się, że procedury istniejące w organizacji uwzględniają ryzyko ataków phishingowych i starają się mu zapobiegać.
  • Przeprowadzanie szkoleń uświadamiających pracowników o istniejących zagrożeniach.
  • Wymuszona aktualizacja oprogramowania na komputerach pracowników.
  • Przeprowadzenie testów penetracyjnych w celu praktycznej oceny bieżącego stanu bezpieczeństwa systemu teleinformatycznego.

Powiązane wpisy


Napisz komentarz

XHTML: Możesz użyć tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>